С весной приходит тепло, а со средой — новостной дайджест на DevOps FM.
🟡 OpenSSF выпустили сборник по безопасности и open source проектов.
Open Source Security Foundation опубликовали Security Baseline for Open Source Projects — документ с набором рекомендаций, направленных на повышение уровня безопасности проектов с открытым исходным кодом.
Что туда входит:
• Процессы для выявления, отслеживания и устранения уязвимостей в проектах;
• Практики по безопасному управлению зависимостями (OSA/SCA);
• Требования к созданию документации, а также рекомендации по управлению правами доступа к репозиториям и CI/CD.
Критерии безопасности и элементы управления, которым должны соответствовать проекты, организованы по уровню зрелости и категориям. Прочитать можно тут и на GitHub.
⚫️ HashiCorp — всё. IBM завершили сделку по приобретению компании.
Новости о покупке появились еще в апреле прошлого года. Не смотря на это, HashiCorp продолжит работать под своим названием и после поглощения, являясь подразделением IBM.
О возможности возвращения продуктов HashiCorp (Terraform, Vagrant, Packer, Hermes, Nomad) на открытую лицензию все еще ничего не известно.
🟡 Cloudflare блокирует пользователей непопулярных браузеров, считая их подозрительными.
Пользователи браузеров Pale Moon, SeaMonkey, Falkon и других сталкиваются с блокировкой доступа к сайтам из-за системы защиты Cloudflare. Алгоритмы компании ошибочно принимают эти браузеры за ботов, что приводит к бесконечным циклам загрузки или полному отказу в доступе.
Жалобы на блокировки поступают с 2015 года, и несмотря на периодические исправления, проблема продолжает возникать снова и снова. Популярные браузеры также не гарантируют доступ — с ограничениями сталкиваются пользователи старых версий, например, Firefox 115 ESR.
Cloudflare ориентированы на корпоративных клиентов, и у обычных пользователей нет прямого способа сообщить о проблеме, кроме форума сообщества. Что иронично, доступ к нему также может быть ограничен для вышеперечисленных браузеров.
#devops #opensource #security
🟡 OpenSSF выпустили сборник по безопасности и open source проектов.
Open Source Security Foundation опубликовали Security Baseline for Open Source Projects — документ с набором рекомендаций, направленных на повышение уровня безопасности проектов с открытым исходным кодом.
Что туда входит:
• Процессы для выявления, отслеживания и устранения уязвимостей в проектах;
• Практики по безопасному управлению зависимостями (OSA/SCA);
• Требования к созданию документации, а также рекомендации по управлению правами доступа к репозиториям и CI/CD.
Критерии безопасности и элементы управления, которым должны соответствовать проекты, организованы по уровню зрелости и категориям. Прочитать можно тут и на GitHub.
⚫️ HashiCorp — всё. IBM завершили сделку по приобретению компании.
Новости о покупке появились еще в апреле прошлого года. Не смотря на это, HashiCorp продолжит работать под своим названием и после поглощения, являясь подразделением IBM.
С этим приобретением IBM стремится продолжать инвестировать в возможности HashiCorp и расширять их, и вместе с ведущими технологиями HashiCorp и обширным сообществом разработчиков, наша цель — внедрить технологии HashiCorp в каждый дата центр.
О возможности возвращения продуктов HashiCorp (Terraform, Vagrant, Packer, Hermes, Nomad) на открытую лицензию все еще ничего не известно.
🟡 Cloudflare блокирует пользователей непопулярных браузеров, считая их подозрительными.
Пользователи браузеров Pale Moon, SeaMonkey, Falkon и других сталкиваются с блокировкой доступа к сайтам из-за системы защиты Cloudflare. Алгоритмы компании ошибочно принимают эти браузеры за ботов, что приводит к бесконечным циклам загрузки или полному отказу в доступе.
Жалобы на блокировки поступают с 2015 года, и несмотря на периодические исправления, проблема продолжает возникать снова и снова. Популярные браузеры также не гарантируют доступ — с ограничениями сталкиваются пользователи старых версий, например, Firefox 115 ESR.
Cloudflare ориентированы на корпоративных клиентов, и у обычных пользователей нет прямого способа сообщить о проблеме, кроме форума сообщества. Что иронично, доступ к нему также может быть ограничен для вышеперечисленных браузеров.
#devops #opensource #security
👍8
Выкатываем средовую подборку, ловите!
🟡 HashiCorp выпустили статью о эфемерных значениях в Terraform.
Ephemeral values позволяют безопасно работать с чувствительными данными без их сохранения в state-файле. В статье разбираются эфемерные ресурсы, write-only аргументы и механизм отложенного выполнения, предотвращающие утечки секретных данных.
⚫️ Релизнули FreeBSD 13.5
В новой версии обновили LLVM и его компоненты до версии 19.1.7; устранили проблему 2038 года в UFS1 (даты теперь поддерживаются до 2106 года) и добавили пару фичей, например запуск sysctl и ip6addrctl в изолированных jail-окружениях.
Обновляемся тут.
🟡 GitHub разобрали практический подход к решению проблем с утечками конфиденциальных данных. О том, как выявлять и устранять утечки токенов и паролей, а также рекомендации по защите данных читаем в статье.
⚫️ Луки Каваллин опубликовал вводный разбор устройства ядра Linux.
Автор рассказал о ключевых механизмах, практических аспектах разработки в ядре, отличиях от пользовательского пространства и различных сложностях. Будет полезно тем, кто хочет глубже разобраться во внутренней архитектуре Linux.
#Devops #GitHub #Security #Linux
🟡 HashiCorp выпустили статью о эфемерных значениях в Terraform.
Ephemeral values позволяют безопасно работать с чувствительными данными без их сохранения в state-файле. В статье разбираются эфемерные ресурсы, write-only аргументы и механизм отложенного выполнения, предотвращающие утечки секретных данных.
⚫️ Релизнули FreeBSD 13.5
В новой версии обновили LLVM и его компоненты до версии 19.1.7; устранили проблему 2038 года в UFS1 (даты теперь поддерживаются до 2106 года) и добавили пару фичей, например запуск sysctl и ip6addrctl в изолированных jail-окружениях.
Обновляемся тут.
🟡 GitHub разобрали практический подход к решению проблем с утечками конфиденциальных данных. О том, как выявлять и устранять утечки токенов и паролей, а также рекомендации по защите данных читаем в статье.
Вместо того, чтобы зацикливаться на вопросе «насколько вы уязвимы», вы должны изначально предполагать худшее. Ваши конфиденциальные данные полностью раскрыты; считайте это данностью.
⚫️ Луки Каваллин опубликовал вводный разбор устройства ядра Linux.
Автор рассказал о ключевых механизмах, практических аспектах разработки в ядре, отличиях от пользовательского пространства и различных сложностях. Будет полезно тем, кто хочет глубже разобраться во внутренней архитектуре Linux.
#Devops #GitHub #Security #Linux
🔥15👍3❤1
Средовая подборка новостей и релизов, без опозданий.
🟡 Выпустили Linux 6.14, но уже с опозданием 😑
В понедельник вышел релиз ядра версии 6.14. "Почему не в воскресенье, как обычно?" — спросите вы Линуса. Ответ убил:
В новой версии было внесено 12 115 исправлений, среди которых: добавление
Полный список изменений — тут.
⚫️ Уязвимости в ingress-nginx ставят под угрозу тысячи Kubernetes-кластеров.
Команда исследователей из Wiz обнаружили серию критических уязвимостей в ingress-nginx — одном из самых популярных ingress-контроллеров для Kubernetes. Уязвимости позволяют выполнять код в контексте ingress-nginx, получая доступ ко всем настройкам объекта Ingress, включая доступы ко всему кластеру.
Сообщается, что 43% облачных Kubernetes-кластеров находятся под угрозой, и проблемам присвоен критический уровень опасности (9.8 из 10).
Kubernetes уже выпустили патчи с исправлениями, и рекомендуют обновиться как можно скорее. Если обновление невозможно — предложено отключить Validating Admission Controller. Проверить, используют ли ваши кластеры ingress-nginx можно с помощью команды
🟡 Результаты масштабного опроса об использовании инструментов и практик observability.
Grafana опубликовала результаты третьего ежегодного опроса о возможности наблюдения (observability). В исследовании приняли участие 1255 специалистов из разных стран, включая SRE-инженеров, разработчиков и топ-менеджеров.
Из интересного:
• 76% компаний используют решения с открытым кодом, а Prometheus и OpenTelemetry становятся стандартами;
• Осведомленность рынка растет — в 33% организаций C-level считают observability критичным показателем;
• Почти три четверти (73%) всех организаций сегодня активно изучают или используют SLO.
Подробную аналитику можно посмотреть в отчете.
#devops #kubernetes #grafana #security #linux
🟡 Выпустили Linux 6.14
В понедельник вышел релиз ядра версии 6.14. "Почему не в воскресенье, как обычно?" — спросите вы Линуса. Ответ убил:
Я бы хотел сказать, что в последнюю минуту возникли какие-то важные дела, которые отложили выпуск. Но нет. Это просто чистая некомпетентность... совсем забыл, что вообще-то нужно релизиться.
В новой версии было внесено 12 115 исправлений, среди которых: добавление
ntsync c примитивами синхронизации Windows NT, направленного на повышение производительности игр; поддержка некэшированного буферизованного ввода-вывода; больше абстракций Rust и многое другое.Полный список изменений — тут.
⚫️ Уязвимости в ingress-nginx ставят под угрозу тысячи Kubernetes-кластеров.
Команда исследователей из Wiz обнаружили серию критических уязвимостей в ingress-nginx — одном из самых популярных ingress-контроллеров для Kubernetes. Уязвимости позволяют выполнять код в контексте ingress-nginx, получая доступ ко всем настройкам объекта Ingress, включая доступы ко всему кластеру.
Сообщается, что 43% облачных Kubernetes-кластеров находятся под угрозой, и проблемам присвоен критический уровень опасности (9.8 из 10).
Kubernetes уже выпустили патчи с исправлениями, и рекомендуют обновиться как можно скорее. Если обновление невозможно — предложено отключить Validating Admission Controller. Проверить, используют ли ваши кластеры ingress-nginx можно с помощью команды
kubectl get pods --all-namespaces --selector app.kubernetes.io/name=ingress-nginx🟡 Результаты масштабного опроса об использовании инструментов и практик observability.
Grafana опубликовала результаты третьего ежегодного опроса о возможности наблюдения (observability). В исследовании приняли участие 1255 специалистов из разных стран, включая SRE-инженеров, разработчиков и топ-менеджеров.
Из интересного:
• 76% компаний используют решения с открытым кодом, а Prometheus и OpenTelemetry становятся стандартами;
• Осведомленность рынка растет — в 33% организаций C-level считают observability критичным показателем;
• Почти три четверти (73%) всех организаций сегодня активно изучают или используют SLO.
Подробную аналитику можно посмотреть в отчете.
#devops #kubernetes #grafana #security #linux
Please open Telegram to view this post
VIEW IN TELEGRAM
👍7
The worst time to find out you are missing logs is during an incident!
Сегодня делимся полезной серией о том, как подготовиться к облачным инцидентам. Команда Invictus IR подготовила серию статей, посвящённых стратегии реагирования на инциденты в облаке — от настройки логирования до подготовки инфраструктуры.
Первая часть — практическое руководство о том, что нужно подготовить до инцидента, включая обеспечение доступа к ключевым ресурсам и настройку ролей.
Во второй части — ключевые логи в облаке: здесь основное внимание уделяется определению и приоритизации логов, необходимых для эффективного реагирования на инциденты в AWS, Azure и Google Cloud.
Третья часть — об инфраструктуре: как подготовить среду для быстрого анализа, локализации и устранения последствий атак, а также настройка логирования в AWS и Google Cloud.
#devops #security #devsecops #cloud
👍9🔥3❤2
В статье от Microsoft вы узнаете, как дефолтные конфигурации Helm-чартов для Apache Pinot, Meshery и Selenium приводили к инцидентам. Исследователи призывают проверять конфигурации, мониторить состояние кластеров и не полагаться на установки “по умолчанию”.
#devops #helm #security
Please open Telegram to view this post
VIEW IN TELEGRAM
👍8🔥4❤1
Не каждый работает с инфраструктурой, где чувствительные данные разбросаны между десятками микросервисов, облаками и кодовой базой. Тем интереснее узнать, как такие системы устроены и как в них обеспечивают безопасность.
В Uber рассказали, как они создали централизованную платформу управлением секретами, которая изменила их подход к защите распределённых систем. Они объединили более 25 разрозненных хранилищ в отказоустойчивую систему на базе Vault, автоматизировали 20 000 ротаций в месяц и сократили дистрибуцию секретов на 90%. А ещё — разработали собственный протокол для обмена с внешними сервисами и движутся к модели secretless благодаря SPIRE.
О том, как это удалось реализовать — в статье.
#devops #security #infrastructure
Please open Telegram to view this post
VIEW IN TELEGRAM
👍8❤5🔥2
Начинаем рабочую неделю с занимательной статьи от Шарона Брызинова.
Удалили секрет из GitHub? Увы, он всё равно остаётся доступен. Даже после
Исследователь автоматизировал поиск таких «висячих» коммитов, использовав GitHub Event API, GH Archive и TruffleHog и нашёл тысячи ключей и токенов. Один из них открывал админ-доступ ко всем репозиториям Istio, что могло привести к масштабной supply chain-атаке, но уязвимость вовремя устранили.
В статье — как Шарон он наткнулся на эту проблему, получил доступы к проектам Google, RedHat и других крупных корпораций и создал open-source проект для сканирования подобных утечек.
#devops #github #security
Удалили секрет из GitHub? Увы, он всё равно остаётся доступен. Даже после
git reset --hard HEAD~1 с последующим git push --force коммиты не исчезают навсегда — GitHub хранит их в архиве и позволяет восстановить по хешу.Исследователь автоматизировал поиск таких «висячих» коммитов, использовав GitHub Event API, GH Archive и TruffleHog и нашёл тысячи ключей и токенов. Один из них открывал админ-доступ ко всем репозиториям Istio, что могло привести к масштабной supply chain-атаке, но уязвимость вовремя устранили.
В статье — как Шарон он наткнулся на эту проблему, получил доступы к проектам Google, RedHat и других крупных корпораций и создал open-source проект для сканирования подобных утечек.
#devops #github #security
👍12❤3
– Annual Security Reports. Ежегодные отчеты по кибербезопасности от крупнейших ИТ компаний.
– Phishing campaigns. Репозиторий, где собраны разборы о фишинговых кампаниях с примерами писем и описанием инструментов, с помощью которых осуществлялась рассылка.
– Hackerone Reports. Подборка отчетов от Hacker One, которые включают примеры найденных уязвимостей, их описание и влияние на систему
#devops #security #репозиторий
Please open Telegram to view this post
VIEW IN TELEGRAM
👍4❤3🔥2
Как закрывать риски при смешанных сценариях работы — от трафика до AI-агентов
Сегодня в подборке — практические разборы, где безопасность не отделена от инфраструктуры и масштаба.
🟡 Cloudflare включает защиту без ручных политик
Автоматическое укрепление трафика срабатывает, когда поведение запросов меняется. Не нужно вспоминать про WAF, настраивать исключения или проверять релизы. Подходит командам, где инфраструктура часто обновляется или безопасность не ведётся отдельно.
⚫️ OpenShift и Palo Alto Networks убирают разрыв между VM и контейнерами
Когда Kubernetes и виртуалки живут параллельно, политики безопасности расходятся. Интеграция даёт единый контроль трафика, общие правила и подключение внешней аналитики угроз. Это снижает риск “белых пятен” в сети и облегчает аудит.
🟡 AI-скрейпинг выходит за рамки вспомогательных задач
Авторы разбирают, когда выгодно строить свой стек и когда проще взять готовый сервис. Главный акцент — на утечках, отсутствии контроля запросов и несоответствии нормам, если агенты работают в фоне. Полезно тем, кто запускает LLM-интеграции или аналитику на внешних данных.
#security #cloud #kubernetes #openshift #ai
Сегодня в подборке — практические разборы, где безопасность не отделена от инфраструктуры и масштаба.
🟡 Cloudflare включает защиту без ручных политик
Автоматическое укрепление трафика срабатывает, когда поведение запросов меняется. Не нужно вспоминать про WAF, настраивать исключения или проверять релизы. Подходит командам, где инфраструктура часто обновляется или безопасность не ведётся отдельно.
⚫️ OpenShift и Palo Alto Networks убирают разрыв между VM и контейнерами
Когда Kubernetes и виртуалки живут параллельно, политики безопасности расходятся. Интеграция даёт единый контроль трафика, общие правила и подключение внешней аналитики угроз. Это снижает риск “белых пятен” в сети и облегчает аудит.
🟡 AI-скрейпинг выходит за рамки вспомогательных задач
Авторы разбирают, когда выгодно строить свой стек и когда проще взять готовый сервис. Главный акцент — на утечках, отсутствии контроля запросов и несоответствии нормам, если агенты работают в фоне. Полезно тем, кто запускает LLM-интеграции или аналитику на внешних данных.
#security #cloud #kubernetes #openshift #ai
👍4🔥4❤2
Привет! Вы в DevOps FM 🚀
Канал про DevOps, администрирование и людей, которые это совершенствуют👍
Наши рубрики:
- Понедельник — Познавательные (#tools #opensource)
- Среда — Информационные дайджесты (#kubernetes #docker)
- Пятница — Развлекательное / пятничное чтиво (#debugging #podcasts)
- Каждые 2 недели — «Партнёр недели» (#партнёрский_пост)
💡 Совет: используйте хештеги для поиска по интересующим темам.
Например, #postgresql, #security, #architecture
Канал про DevOps, администрирование и людей, которые это совершенствуют
Наши рубрики:
- Понедельник — Познавательные (#tools #opensource)
- Среда — Информационные дайджесты (#kubernetes #docker)
- Пятница — Развлекательное / пятничное чтиво (#debugging #podcasts)
- Каждые 2 недели — «Партнёр недели» (#партнёрский_пост)
💡 Совет: используйте хештеги для поиска по интересующим темам.
Например, #postgresql, #security, #architecture
Please open Telegram to view this post
VIEW IN TELEGRAM
👍8❤5🏆3🔥1
5 мифов о DevSecOps, из-за которых теряется скорость релизов и контроль над безопасностью
🤝 Сегодня обсудим, почему DevSecOps — не про замедление, бюрократию и ещё один набор инструментов. Разберём 5 мифов, которые мешают это увидеть.
💬 DevSecOps замедляет разработку
Миф: проверки безопасности добавляют фрикцию — значит, релизы будут идти медленнее.
Реальность: скорость падает не из-за DevSecOps, а из-за ручных и разрозненных проверок.
Когда безопасность встроена в CI/CD-поток (например, через автоматические SAST-, SCA- и DAST-сканеры), разработчики получают обратную связь в момент сборки или при коммите — ещё до ревью. Такая интеграция позволяет исправлять уязвимости до того, как они попадут в прод. Например, по данным Veracode, клиенты, использующие Veracode Fix, сокращают время устранения уязвимостей примерно на 92 % по сравнению с ручными подходами.
💬 DevSecOps — это просто ещё один набор инструментов
Миф: купим несколько сканеров, включим проверки — и у нас DevSecOps.
Реальность: сами инструменты ничего не дают без культуры взаимодействия между разработчиками, DevOps и специалистами по безопасности. Если сканеры не интегрированы с CI/CD, issue-трекерами (например, Jira, GitLab Issues) или IDE, безопасность превращается в хаос уведомлений, которые никто не успевает обработать.
💬 Разработчики должны быть экспертами по безопасности
Миф: разработчик должен стать специалистом по кибербезопасности для внедрения DevSecOps.
Реальность: грамотно выстроенный DevSecOps-процесс автоматизирует рутину и даёт понятные подсказки там, где работает разработчик — в IDE (VS Code, IntelliJ), в pull-requestах или пайплайне CI. Безопасность становится частью привычного цикла: написал код → прогнал тесты → получил подсказку по уязвимости → исправил.
💬 DevSecOps не подходит малому бизнесу
Миф: DevSecOps — это история для корпораций с большими бюджетами.
Реальность: DevSecOps можно начать с малого и масштабировать по мере роста.
Даже небольшие команды могут настроить:
- SAST-проверку через бесплатные инструменты — Semgrep, SonarQube Community, Bandit;
- SCA-анализ с помощью OWASP Dependency-Check, Snyk Open Source или GitHub Dependabot.
Малый бизнес выигрывают за счёт гибкости процессов: меньше согласований, быстрее адаптация.
💬 DevSecOps — это только защита от внешних атак
Миф: DevSecOps нужен только для защиты от хакеров и DDoS.
Реальность: DevSecOps охватывает всю цепочку безопасности — от конфигураций инфраструктуры до зависимостей и прав доступа.
#DevSecOps #Security #CICD #Automation
Миф: проверки безопасности добавляют фрикцию — значит, релизы будут идти медленнее.
Реальность: скорость падает не из-за DevSecOps, а из-за ручных и разрозненных проверок.
Когда безопасность встроена в CI/CD-поток (например, через автоматические SAST-, SCA- и DAST-сканеры), разработчики получают обратную связь в момент сборки или при коммите — ещё до ревью. Такая интеграция позволяет исправлять уязвимости до того, как они попадут в прод. Например, по данным Veracode, клиенты, использующие Veracode Fix, сокращают время устранения уязвимостей примерно на 92 % по сравнению с ручными подходами.
Миф: купим несколько сканеров, включим проверки — и у нас DevSecOps.
Реальность: сами инструменты ничего не дают без культуры взаимодействия между разработчиками, DevOps и специалистами по безопасности. Если сканеры не интегрированы с CI/CD, issue-трекерами (например, Jira, GitLab Issues) или IDE, безопасность превращается в хаос уведомлений, которые никто не успевает обработать.
Миф: разработчик должен стать специалистом по кибербезопасности для внедрения DevSecOps.
Реальность: грамотно выстроенный DevSecOps-процесс автоматизирует рутину и даёт понятные подсказки там, где работает разработчик — в IDE (VS Code, IntelliJ), в pull-requestах или пайплайне CI. Безопасность становится частью привычного цикла: написал код → прогнал тесты → получил подсказку по уязвимости → исправил.
Миф: DevSecOps — это история для корпораций с большими бюджетами.
Реальность: DevSecOps можно начать с малого и масштабировать по мере роста.
Даже небольшие команды могут настроить:
- SAST-проверку через бесплатные инструменты — Semgrep, SonarQube Community, Bandit;
- SCA-анализ с помощью OWASP Dependency-Check, Snyk Open Source или GitHub Dependabot.
Малый бизнес выигрывают за счёт гибкости процессов: меньше согласований, быстрее адаптация.
Миф: DevSecOps нужен только для защиты от хакеров и DDoS.
Реальность: DevSecOps охватывает всю цепочку безопасности — от конфигураций инфраструктуры до зависимостей и прав доступа.
#DevSecOps #Security #CICD #Automation
Please open Telegram to view this post
VIEW IN TELEGRAM
👍10❤4🔥4👎1
Какие призраки прячутся в API?
В прошлом мы рассказывали о зомби-ресурсах, сегодня поговорим о приведениях.
👻 Призрачные API — это эндпоинты, о которых команда уже не помнит: устаревшие версии API, тестовые и предрелизные окружения, временные debug -эндпоинты, внутренние маршруты, неиспользуемые SDK-колбэки или микросервисы без владельца. Такие точки входа остаются живыми, но не попадают в мониторинг и тесты — поэтому злоумышленники ищут их в первую очередь.
Как обнаружить:
• анализ кода и скрытых маршрутов;
• перебор и сравнение версий API;
• следы в логах, документации и старых тестах.
Как изгнать:
• Инвентаризация: централизованный каталог API (Swagger/OpenAPI, Postman).
• Политика «Убей, не прячь»: полностью удаляйте ненужные маршруты, не переименовывайте.
• Владение: у каждого эндпойнта — владелец и SLA; без владельца — автоматическое выключение.
👀 Подробности читайте в статье Medium
Делимся подборкой инструментов-охотников:
Pluto — CLI-утилита для обнаружения устаревших/удалённых версий API в Kubernetes-манифестах или кластере
Kubent — аналогично Pluto, CLI-инструмент для K8s. Проверяет кластер и исходники на использование Ghost=deprecated API
👻 Пусть ваши релизы проходят без мёртвого кода и призрачных эндпойнтов
#DevOps #Security #API
В прошлом мы рассказывали о зомби-ресурсах, сегодня поговорим о приведениях.
Как обнаружить:
• анализ кода и скрытых маршрутов;
• перебор и сравнение версий API;
• следы в логах, документации и старых тестах.
Как изгнать:
• Инвентаризация: централизованный каталог API (Swagger/OpenAPI, Postman).
• Политика «Убей, не прячь»: полностью удаляйте ненужные маршруты, не переименовывайте.
• Владение: у каждого эндпойнта — владелец и SLA; без владельца — автоматическое выключение.
Делимся подборкой инструментов-охотников:
Pluto — CLI-утилита для обнаружения устаревших/удалённых версий API в Kubernetes-манифестах или кластере
Kubent — аналогично Pluto, CLI-инструмент для K8s. Проверяет кластер и исходники на использование Ghost=deprecated API
#DevOps #Security #API
Please open Telegram to view this post
VIEW IN TELEGRAM
1👍8❤6🔥6
Пятничное чтиво от DevOps FM
Сегодня поговорим об инфраструктурных мелочах с большими последствиями.
👀 Что могло пойти не так, но с версией Kubernetes 1.35 будет работать корректно
• Под уверенно занял порт на хосте, а потом мы выяснили, что все процессы внутри работали как root. Хорошо, что теперь это можно настроить.
• Для распределённой задачи требуется 10 рабочих подов, а запустилось только 5. Что с этим делает Kubernetes 1.35?
• Образ на узле, ресурсов хватает, но под не стартует – kubelet проверяет наличие imagePullSecrets.
• Кластер не поднялся после обновления узлов. При чём тут cgroup v1 и релиз 1.35? Читайте в статье.
👀 5 ошибок DevOps стартапа (версия 2025)
• DevOps как набор инструментов
Контуры процессов, технический стек внедрены, а совместной ответственности и быстрой обратной связи всё ещё нет.
• Команды работают разрозненно
Разработка, эксплуатация и безопасность живут в своих мирах – потом долго ищут виноватых и чинят одно и то же.
• Гонка за скоростью без прозрачности.
Релизы частые, но без мониторинга и логов проблемы находят пользователи, а не команда.
• Ручные операции там, где давно нужна автоматизация.
Деплой «по инструкции», инфраструктура «на память», подборка ошибок – человеческих и повторяющихся.
• Безопасность на «потом»
Сканирование, политики и контроль доступа подключают после инцидента, когда уже поздно.
Подробности читайте здесь.
👀 Побойтесь DevOps-а…
Компания искала DevOps-инженера, чтобы навести порядок в инфраструктуре, и наняла специалиста с полными правами на продовые серверы. Прошло время и сотрудничество прекратили: доступы отозвали, пароли сменили, учётки заблокировали. Спустя пять дней прод внезапно упал: сервисы недоступны, логи выглядели «разорванными», массовая утечка данных. В ходе внутреннего расследования выяснили – до увольнения был создан скрытый пользователь с правами root, через VPN добавлена отложенная cron-задача на уничтожение системы, а после срабатывания последовал шантаж с требованием выкупа. Как всё закончилось? Читайте здесь.
🚀 Приятного чтения! Пусть все инциденты сегодня будут только на Habr.
#пятничноечтиво #kubernetes #devops #security
Сегодня поговорим об инфраструктурных мелочах с большими последствиями.
• Под уверенно занял порт на хосте, а потом мы выяснили, что все процессы внутри работали как root. Хорошо, что теперь это можно настроить.
• Для распределённой задачи требуется 10 рабочих подов, а запустилось только 5. Что с этим делает Kubernetes 1.35?
• Образ на узле, ресурсов хватает, но под не стартует – kubelet проверяет наличие imagePullSecrets.
• Кластер не поднялся после обновления узлов. При чём тут cgroup v1 и релиз 1.35? Читайте в статье.
• DevOps как набор инструментов
Контуры процессов, технический стек внедрены, а совместной ответственности и быстрой обратной связи всё ещё нет.
• Команды работают разрозненно
Разработка, эксплуатация и безопасность живут в своих мирах – потом долго ищут виноватых и чинят одно и то же.
• Гонка за скоростью без прозрачности.
Релизы частые, но без мониторинга и логов проблемы находят пользователи, а не команда.
• Ручные операции там, где давно нужна автоматизация.
Деплой «по инструкции», инфраструктура «на память», подборка ошибок – человеческих и повторяющихся.
• Безопасность на «потом»
Сканирование, политики и контроль доступа подключают после инцидента, когда уже поздно.
Подробности читайте здесь.
Компания искала DevOps-инженера, чтобы навести порядок в инфраструктуре, и наняла специалиста с полными правами на продовые серверы. Прошло время и сотрудничество прекратили: доступы отозвали, пароли сменили, учётки заблокировали. Спустя пять дней прод внезапно упал: сервисы недоступны, логи выглядели «разорванными», массовая утечка данных. В ходе внутреннего расследования выяснили – до увольнения был создан скрытый пользователь с правами root, через VPN добавлена отложенная cron-задача на уничтожение системы, а после срабатывания последовал шантаж с требованием выкупа. Как всё закончилось? Читайте здесь.
#пятничноечтиво #kubernetes #devops #security
Please open Telegram to view this post
VIEW IN TELEGRAM
3👍7❤5🔥4🤔2